在宏碁,华硕,联想,戴尔和惠普电脑上的Bloatware可以让您在10分钟内获得PWNED
没有人真的喜欢安装在新的Windows PC上的预装融合软件,但如果您的计算机是ASUS,Dell,Hewlett Packard,Acer或Lenovo,那么Crapware可能会让您感到攻击。在某些情况下,攻击者将完全妥协您的PC需要不到10分钟。
你知道Bloatware会减慢你的电脑,但Duo Security的Duo Labs警告说:“最糟糕的部分是OEM软件让我们易受攻击和侵入我们的隐私。”研究人员表示,它调查的五个主要OEM PC供应商中的每一个都至少有一个更新工具以及黑客可以利用一个漏洞来利用一个中间攻击,然后执行代码来完全妥协受影响的PC。
“华硕和宏碁是最糟糕的,”根据Duo Security的安全研究总监。华硕有两种不同的漏洞。他告诉我,“这一个有代码执行,这非常明显且易于利用 - 它实际上花了不到10分钟的时间来使用这种脆弱性攻击系统。”Manzuik补充道,“他们告诉我们他们正在修补这个问题,但我们仍然没有看到它的补丁。他们最初确实做了一个补丁,但后来他们没有释放它。我们在三个月前告诉他们关于错误的错误。“
据报道,华硕提供通过“华硕直播更新”的更新,这么糟糕的是Duo Security的“开箱即用:OEM更新器的安全性分析“(PDF)表示,它提供”具有功能的攻击者只能被称为远程代码执行作为服务。“
它不仅仅是贵族和宏碁,其更新者是不安全的。Duo Labs发现并报告了在供应商Acer,华硕,戴尔,惠普和联想的12种不同漏洞。
自从Microsoft的签名版PC不应该附带任何预先安装的Bloatware,您可能已选择免费的PC。然而,Duo Security发现这些系统“也经常包括OEM更新工具,可能会使他们的分发大于其他OEM软件。”标志性PC“不保证保护最终用户完全保护OEM软件的缺陷。”
在去年年底,在野外发现概念验证代码,可以利用戴尔,联想和东芝群布虫;它将数百万用户面临风险。这不是第一次,它不会是最后一个。这是一个“无意识的”,即黑客将针对更新者,但OEM未能从中学习。Duo Security表示,一些供应商“不尝试淬火他们的更新者;”一些供应商甚至有多个软件更新器。
所有供应商Duo安全在2016年第一季度的IDC的PC出货量中列出了IDC的前五名。联想在顶部,发货12,178。惠普是第一季度的全球11,603个出货量。戴尔是第三个,发货9,017台。华硕进入了第五个,其中4,392件PC。
Duo Labs总结了最值得注意的漏洞:
有两个更新者由研究人员调查的戴尔有一个高风险的脆弱性,涉及缺乏证书最佳实践,称为Edellroot.Hewlett Packard,研究人员在其测试中所说的与其他供应商相比,有两个高风险可能导致受影响系统上任意代码执行的漏洞。此外,还识别了五种中到低风险漏洞.asus具有一个高风险漏洞,允许任意代码执行以及一个中等严重性本地权限升级.Acer,它提供了“宏观护理中心”的更新有两个高风险漏洞,允许任意代码执行.Lenovo,其中研究人员审查了两个更新者,具有一个允许任意代码执行的高风险漏洞。该研究在2015年10月至2016年4月在10个新的Windows PC之间进行:联想Flex 3,HP Envy,HP Stream X360(Microsoft Signature Edition),HP Stream(英国版),联想G50-80(英国版),Acer Aspire F15(英国版),戴尔Inspiron 14(加拿大版),戴尔Inspiron 15-5548(Microsoft签名版),华硕TP200S和华硕TP200S(Microsoft Signature Edition)。
其中一个最常见的问题是供应商不始终如一地使用加密的HTTPS连接来传输清单,包和可执行文件。研究人员称,TLS将利用他们发现的缺陷“非常不可能,除了Edellroot问题之类的人之外。”
研究人员建议OEM供应商实施明文签名并正确验证签名以确保可信任签署可执行文件。
与Acer和Asus相比,戴尔,惠普和联想供应商“似乎似乎执行更多的安全尽职调查。”惠普和联想都迅速移动以修复高风险漏洞;“据报道,惠普补丁七个缺陷中的四个,联想表示,它将“从6月下旬开始从其系统中删除受影响的软件。”宏碁缺陷超过45天,而两个华硕漏洞超过125天。戴尔称为客户安全“一个首要任务”,修复了一些缺陷,并表示将在调查结果更加密切地检查后“继续识别和修复出色的缺陷”。
虽然这种时间在狂野中没有浮动,但是建议用户擦除任何OEM系统并重新安装Windows的清洁和布局免费副本。卸载Bloatware和Antivirus或其他试用证您不想要,如果可以。如果没有,请尝试禁用它。
